domingo, junio 19, 2016

Vigila la publicación de tus datos personales o sufre un APT de SMShingo Spear Phishing: Ejemplo con Hacienda

El pasado 7 de abril salió publicada la noticia relacionada con un fallo de la web de la Agencia Tributaria. Al solicitar desde la web de la Agencia Tributaria el borrador fiscal para realizar la declaración de la renta, era posible acceder al borrador fiscal de otros ciudadanos. De esta forma se estaba vulnerando la confidencialidad de los datos fiscales que fija la Ley General Tributaria por un error en el sistema. Cuando leí esta noticia, recordé también que el año pasado, esta misma web había sido utilizada como imagen de una campaña de Ransomware para infectar a los usuarios mediante un ataque de Spam Phishing.

Figura 1: Vigila la publicación de tus datos personales o sufre un APT
de SMShing o Spear Phishing: Ejemplo con Hacienda

Debido a estas dos noticias decidí echar un vistazo a la web de la Agencia Tributaria que posibilita la petición de Cita Previa, para ver qué medidas de seguridad tiene el sistema ante una posible evolución de estos ataques si alguien hubiera querido unir los dos conceptos en uno, es decir, ver el borrador fiscal de un ciudadano con un ataque dirigido de Spear Phishing o SMShing.

Fas 1: Footprinting

Para gestionar la petición de cita previa, la web de la Agencia Tributaria únicamente solicita un número de DNIe correcto y el primer apellido vinculado a ese DNI.

Figura 2: Acceso al sistema de la Agencia Tributaria

Haciendo un poco de Hacking con Buscadores, es muy fácil obtener un DNI válido y el primer apellido de una persona ya que son datos que no están demasiado protegidos hoy en día. Bastaría con buscar, por ejemplo, calificaciones de alumnos dentro de las universidades españolas, exámenes de oposiciones, currículos, etcétera. En este ejemplo, es posible localizar notas en servidores web que tienen la posibilidad de realizar un directory listing bajo el patrón “index of” en el caso de Apache.

Figura 3: Listado de notas con campo indexado en Google

Una vez que tenemos un DNI válido, lo siguiente es buscar el nombre y apellidos de esa persona. Hoy en día resulta una tarea muy sencilla debido a la cantidad de información que hay en Internet. En el caso de las notas, a pesar de que en la aventura del "misterio criptográfico en la universidad" pudo parecer que se utilizaba algún tipo de cifrado para proteger los datos, lo cierto es que la información está en los listados. Seleccionado un DNI, es fácil localizar el primer apellido.

Figura 4: Documentos con información de DNI y apellidos.
En este caso listado de funcionarios de la administración pública española.

Probamos ahora si el DNI encontrado y el apellido son datos válidos para poder acceder al sistema de petición de cita de la Agencia Tributaria. Hacer esto, puede ser aún más fácil si se conoce de antemano la víctima, es decir, si lo que se quiere es acceder a la documentación de una persona concreta, como el directivo de una empresa, un familiar, o un en/amigo.

Figura 5: Acceso válido e información del segundo apellido.

Una vez dentro, tenemos una primera filtración de información, ya que es posible acceder al segundo apellido en caso de que no fuera público. Ahora al solicitar la petición de una cita previa en una oficina de la Agencia Tributaria que preste el servicio en su domicilio fiscal, el sistema ofrece la dirección de una delegación de Hacienda cercana. Puede ocurrir que coincida con la ciudad donde el usuario tenga fijada su residencia.

Figura 6: Información de la oficina de Hacienda recomendada
Y es más, con la información anterior buscando en Internet, redes sociales, etcétera, es posible obtener información como la de un número de teléfono. Información que muchas veces las personas comparten demasiado a la ligera. Con estos datos, un atacante podría realizar ya un ataque dirigido.

Por último, tras realizar la reserva de cita previa con el sistema de la Agencia Tributaria, este sistema ofrece la posibilidad de enviar la información de la reserva mediante un mensaje SMS o a través del correo electrónico.

Figura 7: Envío de SMS o e-mail de comunicación

Fase 2: Spear Phising & SMShing

Con toda esta información recogida ya podría plantearse un APT (Advanced Persistent Threat) mediante un esquema de SMShing & Spear Phising a una víctima. Para realizar el ataque de Spear Phishing primero es necesario obtener el formato de correo electrónico enviado por el sistema de la Agencia Tributaria. Podemos poner cualquier dirección de correo electrónico a la que enviar la información de la reserva realizada ya que el sistema no verifica si el correo electrónico pertenece o no al usuario que ha accedido para la petición de cita previa.

Figura 8: Correo utilizado por Hacienda

Después ya se puede enviar un correo electrónico falso a la víctima con el formato del correo electrónico obtenido en el paso anterior donde, por ejemplo, le solicitemos unos datos personales o mandemos un enlace con URL acortada para la descarga de algún tipo de malware, por ejemplo un ransonware, como ya se hizo en el pasado.

Figura 9: Correo spoofeado con el dominio oficial

El servidor de nombres utilizado por la Agencia Tributaria no tiene habilitado el filtro SPF (Sender Policy Framework) ni el mecanismo DKIM (DomainKeys Identified Mail) para evitar la suplantación de remitentes, lo que posibilita que se envíe con facilidad un mensaje de correo electrónico bajo el nombre de dominio agenciatributaria.gob.es abriendo la puerta a los ataques de Spam Phising y Spear Phishing.

Figura 10: El dominio no cuenta con registro SPF en el servidor DNS

Por último, se podría plantear también el envío del ataque por SMS con un esquema de SMShing ya que el sistema de petición de cita previa de la Agencia Tributaria no valida si el teléfono introducido para el envío de la información de la reserva pertenece o no al usuario correspondiente. Basta con introducir un número de teléfono válido para que el sistema envíe el SMS con la confirmación de la reserva de la cita.

Figura 11: SMS oficial enviado por el sistema

Reflexiones finales

Aunque la publicación de datos personales en Internet requiere el previo consentimiento de los titulares de los datos de esa publicación, tal vez las administraciones públicas tendrían que utilizar otros mecanismos para la identificación de personas en Internet que no fuese su número de DNI y primer apellido. Además de no ponérselo demasiado difícil a los malos, con este esquema tal vez sería posible realizar un ataque de denegación de servicio (D.o.S.) al sistema de reserva de citas para un día en una ciudad. Basta con tener tantos datos como horas disponibles para ese día.

Figura 12: Horas disponibles para reservar una cita

No obstante, es cierto que muchas organizaciones han premiado la usabilidad del sistema y la comodidad en contra de relajar las medidas de seguridad en el perímetro - la autenticación - pero incrementando los controles en la detección del abuso. Esto quiere decir que aunque algunas medidas de seguridad no se vean en el acceso, puede que en cuanto se realice un ataque masivo o automatizado el sistema detecte ese comportamiento y lo ataque. Es decir, se invierte más en la detección y la respuesta para hacer que la prevención de los ataques no penalice la usabilidad del sistema.

Figura 13: Aviso de la disponibilidad de acceso al sistema de petición de cita previa

Por último, hay que destacar que tu información personal se utiliza para representarte a ti, así que es conveniente que periódicamente revises que datos tuyos personales se encuentran disponibles en Internet para que ejerciendo tu derecho la privacidad y el cumplimiento de la LOPD en las empresas, puedas solicitar que los eliminen.

Autor: Amador Aparicio de la Fuente (@amadapa)
Escritor del libro "Hacking Web Technologies"

Nota del Autor: Para hacer este post no se ha hecho ningún ataque, solo se ha mirado información pública y se ha hecho acceso a la web de Hacienda con una cuenta autorizada. Es un artículo para concienciar a los usuarios de sus posibles riesgos y no para alentar en ningún caso a cometer un delito. Si alguien accede de forma ilegal, deberá atenerse a las consecuencias de suplantar a una identidad en un sistema oficial.

2 comentarios:

  1. Es increíble la agencia tributaria a merced de los hackers. No estamos seguros con nadie.

    ResponderEliminar
  2. No se si le ocurre algo más pero a la hora de identificarme me pasa al instante a la siguiente página, y al volver a darle a identificación me vuelve a pedir el DNI y primer apellido así que a mi no me sucede ese leak de datos, no se si seré el único. Ya que comento aprovecho para agradecer todo el contenido diario y de calidad que se ofrece en blog, seguid así!

    ResponderEliminar